1     监管&政府指导

1.1      美国CISA等9个机构联合发布《改变网络安全风险的平衡：安全设计与默认的原则和方法》指南

1.2      CISA 发布零信任成熟度模型第2版

1.3      加拿大网络安全中心发布《安全架构的零信任方法》

2     技术标准

2.1      信安标委发布关于2023年第一批网络安全推荐性国家标准计划的通知

2.2      2023年度第一批网络安全国家标准需求的通知

2.3      信安标委下达3项网络安全推荐性国家标准计划

2.4    信安标委发布《信息安全技术 软件产品开源代码安全评价方法》征求意见稿

3     行业动态

3.1      Gartner发布八大网络安全预测

3.2      ENISA发布《2030年新型网络安全威胁识别及挑战》

3.3      ISACA发布CMMI 3.0版本

4     其他信息

4.1      ENISA发布《云网络安全市场分析》报告

4.2      ENISA发布交通委

4.3      经合组织发布《关于数字身份管理的建议草案》

4.4      ETSI发布《利用自治网络开启数字化转型》的新白皮书

4.5      安全牛发布第十版网络安全行业全景图

1        监管&政府指导

1.1       美国CISA等9个机构联合发布《改变网络安全风险的平衡：安全设计与默认的原则和方法》指南

关键词：产品安全原则；安全设计策略；默认安全策略

2023年4月13日，网络安全和基础设施安全局（CISA），国家安全局（NSA）和联邦调查局（FBI）与德国联邦信息安全办公室（BSI）、英国国家网络安全中心（NCSC-UK）、澳大利亚网络安全中心（ACSC）、加拿大网络安全中心（CCCS）等其他六个网络安全机构联合发布《改变网络安全风险的平衡：安全设计与默认的原则和方法》指南，鼓励技术制造商创建设计安全、默认安全的产品。该文档主要介绍了软件产品安全原则、安全设计策略(Tactics)和默认安全策略。

编写者制定了以下三个软件产品安全核心原则，以指导软件制造商在开发、配置和交付其产品之前将软件安全性构建到其设计过程中。

1. 安全负担不应完全落在客户身上。软件制造商应该掌握客户购买的安全结果，并相应地发展他们的产品。
2. 拥抱彻底的透明度和问责制。软件制造商应该以提供安全可靠的产品而自豪，并根据他们这样做的能力在制造商社区的其他成员中脱颖而出。
3. 建立组织结构和领导力以实现这些目标。软件制造商将安全性作为产品开发的关键要素的执行级别承诺需要与组织分析的客户建立合作伙伴关系，以了解：

1. 产品部署方案指南以及定制的威胁模型；
2. 建议的安全控制实施，以符合默认安全原则；
3. 根据公司规模量身定制的资源分配策略，以及用设计安全实践取代传统开发实践的能力；
4. 需要保持开放的沟通渠道，以获取有关产品安全问题的内部和外部反馈（例如，员工和客户反馈）；
5. 衡量客户部门的有效性。

编写机构鼓励使用设计安全策略，包括参考 SSDF 实践的原则。软件制造商应制定书面路线图，在其产品组合中采用更多的安全设计软件开发实践，并给出了路线图最佳实践的非详尽列表。列表中部分实践如下:

1. 内存安全编程语言（SSDF PW.6.1）：尽可能使用内存安全语言。
2. 安全硬件基础：整合支持细粒度内存保护的体系结构功能。
3. 参数化查询 （SSDF PW 5.1）：使用参数化查询，而不是在查询中包含用户输入，以避免 SQL 注入攻击。
4. 软件物料清单 （SBOM） （SSDF PS.3.2、4.1）：合并 SBOM 3 的创建，以提供对产品软件集的可见性。
5. 漏洞披露计划（SSDF RV.1.3）：建立漏洞披露计划，允许安全研究人员报告漏洞，
6. 纵深防御：设计基础结构 ，使单个安全控制的危害不会导致整个系统受到损害。
7. 满足网络性能目标 （CPG）：设计符合基本安全实践的产品。

编写机构对默认安全策略给处的建议如下：

1. 软件制造商在其产品中优先考虑默认安全配置，如消除默认口令，单点登录 （SSO），安全日志记录等。
2. 软件制造商通过提供松散指南(loosening guide)来转向默认安全方法，而不是开发列出保护产品的方法的加固指南。
3. 建议组织高管优先考虑购买“设计安全”和“默认安全”产品的重要性。

https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/3361073/nsa-us-and-international-partners-issue-guidance-on-securing-technology-by-desi/

1.2       CISA 发布零信任成熟度模型第2版

关键词：关键定义和指标；成熟度阶段；身份支柱；网络支柱

2023年4月11日，美国网络安全和基础设施安全局（CISA）发布《零信任成熟度模型》第二版，对跨多个关键支柱（包括身份、网络、工作负载及数据等）的联邦机构实施指南进行了更新。主要更新内容如下：

• 更新了政府范围内采用零信任安全架构的关键定义和指标。
• 新版本的成熟度阶段分为四级，除了首版提出的传统、高级、最佳三个阶段外，还增加了初级阶段。CISA修订了每个阶段的指导标准。
• 新版本不再只是临时文件，其更新了长期目标——支持联邦机构设计和实施零信任架构转型计划，并与白宫管理与预算办公室（OMB）M-22-09“推动美国政府迈向零信任网络安全原则”备忘录保持一致。
• CISA针对五大支柱的具体要求进行了修改，并对各大支柱进行了扩充和新增。比如身份支柱，增加了通过FIDO2或PIV实现无密码MFA，增加身份存储的灵活性等；设备支柱，增加了设备威胁保护功能以进行集中安全管理；网络支柱，修改了网络分段功能推荐基于应用配置文件的微隔离等。

https://www.cisa.gov/news-events/news/cisa-releases-updated-zero-trust-maturity-model

https://www.cisa.gov/sites/default/files/2023-04/zero_trust_maturity_model_v2_508.pdf

https://www.cisa.gov/resources-tools/resources/zero-trust-maturity-model-response-comments

1.3       加拿大网络安全中心发布《安全架构的零信任方法》

关键词：安全架构；零信任；多重身份验证

2023年3月15日，加拿大网络安全中心发布《安全架构的零信任方法-ITSM.10.008》。本出版物介绍了零信任 （ZT） 安全概念，以及组织如何从实施 ZT 安全架构中受益以保护其资产。它确定了组织可以遵循的一些最佳实践，以帮助在实施零信任架构 （ZTA） 时确定其工作的优先级。它将帮助组织了解过渡到 ZT 安全架构的重要性，以及他们需要如何转变思维方式并与组织的所有成员合作以改善其网络安全状况。

最佳实现的主要内容如下：

• 对所有连接进行身份验证。
• 实施 ZT 策略。
• 建立“信任引擎”。
• 了解资产和网络架构。
• 使用多重身份验证 （MFA）。
• 对所有流量使用加密。
• 实施基于策略的访问。
• 使用特权访问管理 （PAM） 和安全管理工作站 （SAW）。
• 实现最小特权原则，RBAC 和 ABAC。
• 监控和记录设备和服务访问。
• 管理所有设备。
• 使用网络分段或微分段。
• 使用软件定义的外围（SDP）。

2        技术标准

2.1       信安标委发布关于2023年第一批网络安全推荐性国家标准计划的通知

关键词：国家标准计划；关键信息基础设施安全测评；机密计算；安全运维

2023年3月24日，信安标委发布关于2023年第一批网络安全推荐性国家标准计划的通知。部分标准如下：

https://www.tc260.org.cn/front/postDetail.html?id=20230324115102

2.2       2023年度第一批网络安全国家标准需求的通知

2023年4月13日，信安标委发布2023年度第一批网络安全国家标准需求的通知，该通知包含30个网络安全国家标准需求，涉及人工智能、网络安全产品、数据保护、密码技术、区块链、网络(network)安全等多个方向。

可于2023年5月12日前通过信安标委网站首页进行申报。

https://www.tc260.org.cn/front/postDetail.html?id=20230413185511

2.3       信安标委下达3项网络安全推荐性国家标准计划

关键词：自动化决策；敏感个人信息处理；个人信息跨境传输

2023年4月6日，信安标委下达3项网络安全推荐性国家标准计划。

https://www.tc260.org.cn/upload/2023-04-06/1680781166664084573.pdf

2.4       信安标委发布《信息安全技术 软件产品开源代码安全评价方法》征求意见稿

关键词：开源代码安全；评价方法；评价指标体系

2023年4月10号，信安标委发布《信息安全技术 软件产品开源代码安全评价方法》征求意见稿。本标准给出了软件产品中的开源代码安全评价目标、评价指标体系和评价方法，评价指标体系涵盖了开源代码来源、开源代码质量、开源代码知识产权和开源代码管理能力。本标准适用于软件产品包含的开源代码安全评价工作，为各企事业单位对于软件产品中的开源代码进行安全性自评价ᨀ供参考，为第三方机构开展此类工作ᨀ供依据

https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20230410145119&norm_id=20221102153446&recode_id=50681

3        行业动态

3.1       Gartner发布八大网络安全预测

关键词：现代隐私监管；网络风险量化；暴露管理数据

2023年3月28日，Gartner发布八大网络安全预测，并建议网络安全领导者将这些假设纳入其未来两年的安全战略中：

• 到2027年，50% 的 CISO 将正式将以人为本的设计实践纳入其网络安全计划，以最大限度地减少运营摩擦并最大限度地提高控制采用率。
• 到2024年，现代隐私监管将覆盖大部分消费者数据，但只有不到10%的组织将成功地将隐私武器化为竞争优势。
• 到2024年，现代隐私监管将覆盖大部分消费者数据，但只有不到10%的组织将成功地将隐私武器化为竞争优势。
• 到 2027 年，75% 的员工将在IT可见性之外获取、修改或创建技术，高于2022年41%。
• 到2025年，50%的网络安全领导者将尝试使用网络风险量化来推动企业决策，但没有成功。
• 到2025年，近一半的网络安全领导者将换工作，25%的人完全由于多种与工作相关的压力因素而换工作。
• 到 2026 年，70% 的董事会将包括一名具有网络安全专业知识的成员。
• 到 2026 年，超过 60% 的威胁检测、调查和响应 （TDIR） 功能将利用暴露管理数据来验证检测到的威胁并确定其优先级，而目前这一比例还不到 5%。

https://www.gartner.com/en/newsroom/press-releases/2023-03-28-gartner-unveils-top-8-cybersecurity-predictions-for-2023-2024

3.2       ENISA发布《2030年新型网络安全威胁识别及挑战》

关键词：供应链妥协；高级混合威胁；滥用人工智能；趋势雷达

2023年3月29日，ENISA发布《2030年新型网络安全威胁识别及挑战》。ENISA与PESTLE（政治、经济、社会、技术、法律和环境）领域的相关专家，确定并排列了到 2030 年将增加的21种威胁，并以PESTLE为主题确定了趋势雷达。

其中优先分析的前十大威胁是：

• 软件依赖性的供应链妥协；
• 高级的虚假信息/影响行动运动；
• 数字监控独裁主义的兴起/隐私的丧失；
• 网络物理生态系统中的人为错误和被利用的遗留系统；
• 有针对性的攻击（如勒索软件）通过智能设备数据得到加强；
• 缺乏对天基基础设施和物体的分析和控制；
• 高级混合威胁的兴起；
• 技能短缺；
• 跨境IT服务商成为单点故障；
• 滥用人工智能。

图 3‑1  PESTLE趋势雷达

https://www.enisa.europa.eu/publications/enisa-foresight-cybersecurity-threats-for-2030

3.3       ISACA发布CMMI 3.0版本

2023年4月6日，ISACA发布CMMI 3.0版本，I在开发、服务、供应商管理、安保和安全五个现有领域的基础上新增了数据管理、人员管理和虚拟交付三个领域。

数据管理域及实践将帮助企业在业务需求的范围内整理并利用数据，指导数据完整性检验，提升企业决策有效性和沟通一致性，赋能企业实现其绩效目标。

人员管理域及实践将指导企业培养员工和业务目标之间的一致性，赋权个人和工作小组，推动企业成功实现其目标

虚拟交付域及实践将采取一致的系统化方法去识别、评估并解决虚拟/远程/混合交付的需求、限制及灵活性等问题。

https://mp.weixin.qq.com/s/wYlzqyaUQBKTVVNRLY35Fw

https://cmmiinstitute.com/products/cmmi/content-release

4        其他信息

4.1       ENISA发布《云网络安全市场分析》报告

2023年3月28日，ENISA发布《云网络安全市场分析》报告。

https://www.enisa.europa.eu/publications/cloud-cybersecurity-market-analysis

4.2       ENISA发布交通委

2023年3月21日，欧盟网络安全局（ENISA）发布《ENISA威胁形势：交通部门》，本报告是对欧盟交通部门的网络威胁形势进行的首次分析。

https://www.enisa.europa.eu/publications/enisa-transport-threat-landscape

4.3       经合组织发布《关于数字身份管理的建议草案》

2023年3月31日，经合组织发布《关于数字身份管理的建议草案》

https://www.oecd.org/digital/digital-government/online-public-consultation-draft-oecd-recommendation-on-the-governance-of-digital-identity.htm

https://www.oecd.org/gov/digital-government/draft-oecd-recommendation-on-the-governance-of-digital-identity-public-consultation.pdf

4.4       ETSI发布《利用自治网络开启数字化转型》的新白皮书

2023年3月23日，ETSI发布《利用自治网络开启数字化转型》的新白皮书。白皮书概述了自治网络的各个组件和架构，以及满足功能要求的关键指标和质量标准。第3章综合了每个小组的工作，概述了取得的最重要成果，而第4章的表格则按主题报告了他们的进展和重点。

https://www.etsi.org/newsroom/press-releases/2207-new-etsi-white-paper-unlocking-digital-transformation-with-autonomous-networks

4.5       安全牛发布第十版网络安全行业全景图

2023年4月7日，安全牛发布第十版网络安全行业全景图。在第十版全景图中，收录企业数量最多的细分领域为攻防演练（79项），其后分别是安全运维与托管服务（75项）、应急响应与重保服务（74项）、渗透测试/众测（69项），均和网络安全服务相关，显示出服务市场已成为各大安全厂商重点关注和布局的细分领域。

https://www.aqniu.com/focus/jiaodiantua/95236.html